Dev
Sec
Ops
КУРС · 4–6 МЕСЯЦЕВ · СТАРТ 6 ИЮНЯ 2026
Превратите свой пайплайн в крепость
4–6 месяцев · 2 занятия в неделю · 12 модулей · B-Bank: 16+ микросервисов · Сертификат Ever Secure
За 4–6 месяцев научитесь строить безопасные пайплайны своими руками
— от первого SAST-скана до vulnerability management в ASOC.
Учит команда действующих практиков, которые сами строят DevSecOps
в продуктовой разработке.
Большой практический курс по DevSecOps.
Скачать программу PDF
Записаться на 6 июня — 99 000 ₽
ПРОГРАММА КУРСА
Программа из 13 модулей на учебном банковском приложении B-Bank
За 4–6 месяцев пройдёте сквозной DevSecOps-пайплайн от SAST-сканера до Vulnerability Management в ASOC. Учебный артефакт, B-Bank: 16+ микросервисов на Java/Spring, Go (gRPC), Python (FastAPI/Flask) и React/TypeScript. SAST, SCA, DAST (REST + gRPC), Secret Detection, IaC- и контейнерные сканеры, всё проходите своими руками. Старт 6 июня 2026, цена 99 000 ₽ (вместо 125 000 ₽) для первого потока.
Записаться на курс DevSecOps
Старт когорты, 6 июня 2026. Цена 99 000 ₽ (вместо 125 000 ₽) для первого потока. Оставьте e-mail, пришлём программу PDF, реквизиты к оплате и анонс старта.
Нажимая «Записаться», вы соглашаетесь с обработкой персональных данных в целях информирования о курсе.

Модуль 0, вводная лекция: обзор курса, маршрут по модулям и инструменты. Модуль 1, фундамент по уязвимостям на 24 CTF-стендах. Модули 2–11, сквозной пайплайн на B-Bank, от SAST до compliance-as-code. Модуль 12, итоговая работа: собрать всё в одной ASOC-платформе.

00Вводная лекция+

Зачем этот курс и какую проблему бизнеса решает DevSecOps, чему вы научитесь за поток и каким специалистом выйдете. Знакомимся с преподавателями-практиками, разбираем карту курса и маршрут по всем модулям, готовим рабочее место и инструменты, которые понадобятся.

01Уязвимости+

Фундамент, без которого DevSecOps превращается в шаманство со сканерами. Своими руками эксплуатируете 20+ классов веб-уязвимостей (SQLi, SSRF, SSTI, XXE, IDOR, CSRF, Mass Assignment, Race Conditions, Business Logic) на отдельных CTF-стендах по OWASP Top 10, а в итоговой работе связываете их в единый киллчейн с cloud/container-техниками.

8 занятий · 24 лабы
  1. Занятие 1Broken Access Control
    IDOR · Path Traversal · CSRF · Open Redirect, 4 лабы
  2. Занятие 2Security Misconfiguration + SSRF
    SSRF · Nginx Misconfiguration · XXE, 3 лабы
  3. Занятие 3Vulnerable Components + Cryptographic Failures + Injection (ч.1)
    Vulnerable Dependency · Trust Me, I'm a Cookie · SQL Injection · NoSQL Injection, 4 лабы
  4. Занятие 4Injection (ч.2)
    XSS · SSTI · OS Command Injection · Code Injection, 4 лабы
  5. Занятие 5Insecure Design + Integrity Failures (ч.1)
    Business Logic · Race Condition / TOCTOU · Insecure Deserialization · Prototype Pollution, 4 лабы
  6. Занятие 6Integrity Failures (ч.2) + Logging & Monitoring Failures
    Mass Assignment · Log Forgery · Log Exposure · Loose Lips, 4 лабы
  7. Занятие 7Итоговая работа, киллчейны или цепочки уязвимостей
    Epstein Island: обход клиентской валидации · утечка секретов · IMDS · IAM misconfiguration · role injection · LPE · побег из контейнера
  8. Занятие 8Разбор с преподавателем
    Живой созвон: вопросы, обсуждение решений и реальных кейсов
02Введение в основы DevOps+

DevOps как культура и набор практик: люди, процессы, технологии. Различие Continuous Integration / Delivery / Deployment, устройство пайплайна end-to-end, типовые ловушки и антипаттерны.

3 занятия
  1. Занятие 1DevOps: люди, процессы, технологии
  2. Занятие 2Создание пайплайна для web-приложений
  3. Занятие 3Основные сложности при использовании пайплайна
03Инструменты DevOps+

Технологический ландшафт современного DevOps: SCM, базовая работа в Linux, контейнеризация, управление конфигурациями и инфраструктурой, CI/CD-платформы, контроль качества кода. Учимся собирать рабочий пайплайн под задачу.

Уроки

Список уроков появится до старта потока.

04DevSecOps+

Переход от DevOps к DevSecOps без потери скорости поставки: Secure SDL, ключевые принципы безопасной разработки, модели зрелости (DSOMM). Главный навык, понимать, что и в какой момент имеет смысл внедрять.

Уроки

Список уроков появится до старта потока.

05Secret Detection: поиск секретов+

API-ключи, токены и пароли в коде, частая причина инцидентов. Подходы к поиску (статический, энтропийный, паттерн-матчинг), интеграция в CI/CD и pre-commit hooks, политики хранения и ротации. На B-Bank: хардкод JWT и паролей БД, AWS-ключи, токены деплоя.

1 занятие
  1. Занятие 1Secret Detection
    Как понять, что секреты утекают, где искать и какие они бывают. Имплементация secret detection в GitLab CI. Какие виды анализаторов существуют, как выбрать и внедрить у себя.
06Компонентный анализ (SCA)+

Большая часть кода, сторонние библиотеки. Работа с пакетными менеджерами и lock-файлами, понятие SBOM, платформы управления уязвимостями зависимостей, разбор находок и false positive. На B-Bank: Log4Shell, уязвимый Spring Security, CVE в Pillow/Flask/reportlab.

3 занятия
  1. Занятие 1Как понять состав своего ПО
    Какие виды зависимостей и пакетных менеджеров бывают, что такое SBOM, как выбрать и подключить SBOM. Практика.
  2. Занятие 2Имплементация SCA в GitLab CI
    Как выбрать и подключить анализатор состава ПО. Практика.
  3. Занятие 3Разбор с преподавателем
    Живой созвон: вопросы, обсуждение решений и реальных кейсов.
07Статический анализ (SAST)+

Поиск уязвимостей в исходном коде до прода: подходы и движки, интеграция в пайплайн, кастомизация правил, отсев false positive. На B-Bank: SQLi и Mass Assignment в Java, XXE при импорте выписки, небезопасная десериализация, SSTI в Jinja2, ReDoS в валидаторе IBAN.

6 занятий + опциональное
  1. Занятие 1Введение в SAST
    Как и зачем появился SAST, что такое статический анализ. Regex, AST, Semgrep CE: первые правила. Тест.
  2. Занятие 2Продвинутые виды анализа: от AST к Taint Analysis
    CFG, ICFG, Dataflow, Taint Analysis. CodeQL и Semgrep CE: пишем правила и смотрим, что находят. Тест.
  3. Занятие 3SAST на рынке: выбираем решения
    Движок плюс правила, рынок инструментов: SonarQube, Semgrep, CodeQL. Как писать правила. Практика.
  4. Занятие 4Внедрение SAST в DevSecOps
    Режимы, Security Gateway, Shift Left. Практика.
  5. Занятие 5SAST как процесс
    Триаж, оптимизация правил. Практика.
  6. Занятие 6Разбор с преподавателем
    Живой созвон: вопросы, обсуждение решений и реальных кейсов. Финальное тестирование.
  7. ОпциональноДополнительное занятие: SCA и достижимость
    Анализ достижимости уязвимых зависимостей (reachability): govulncheck, cdxgen, dep-scan. Практика.
08Динамический анализ (DAST)+

Тестирование работающего приложения с позиции атакующего, включая отдельный блок DAST для gRPC (не только REST). Аутентифицированное сканирование, разбор ложных срабатываний. На B-Bank: IDOR, SSRF в webhook, stored XSS, auth bypass на WebSocket, RCE в admin-panel.

Уроки

Список уроков появится до старта потока.

09Инфраструктура как код (IaC)+

Открытые порты, слишком широкие IAM, публичные бакеты, дорогие уязвимости. Сканирование IaC и Kubernetes-манифестов до развёртывания, бенчмарки безопасности, разбор реальных мисконфигов. На B-Bank: privileged-контейнеры, БД без аутентификации наружу, открытый .git через nginx.

Уроки

Список уроков появится до старта потока.

10Безопасность контейнеров+

Контейнер, это код приложения, базовый образ, рантайм и реестр. Сканирование образов и Dockerfile, защищённый реестр, политика жизненного цикла образов, работа с подписями. На B-Bank: сканируем 16 образов, устаревшие базы, USER root, latest-теги, секреты в ENV.

Уроки

Список уроков появится до старта потока.

11Compliance-as-a-code+

Превращаем требования (внутренние стандарты, регуляторные нормы) в проверяемые правила прямо в пайплайне: Quality Gates, описание политик как кода, конфигурация CI-платформы под compliance-требования.

Уроки

Список уроков появится до старта потока.

12Управление уязвимостями (VM), итоговая работа+

Сканеры найдут сотни уязвимостей, и тут самое интересное начинается. VM-процесс end-to-end в ASOC/ASPM: агрегация и дедупликация находок всех сканеров по 16 микросервисам B-Bank, интеграция с Jira, метрики и SLA. На выходе, кейс для портфолио.

Уроки

Список уроков появится до старта потока.

Полная программа с разбивкой по урокам публикуется до старта потока.

Формат

Большой курс с практикой на каждом модуле

Темп комфортный для тех, кто учится параллельно с работой: видео и конспекты, в записи, практика, на собственном стенде курса.

4–6 месяцевДлительность когорты. Учитесь в своём темпе, параллельно с работой.
2 занятия / неделюВидео + лаба + домашнее задание на B-Bank или CTF-стенде.
6 июня 2026Старт первого потока. Pre-order, пока есть места.
99 000 ₽ 125 000 ₽Цена при оплате до старта потока.
13 модулейМодуль 0: вводная; модуль 1: уязвимости; модули 2–12: пайплайн и итоговая.
B-Bank · 16+ сервисовСквозной артефакт курса: Java/Spring, Go (gRPC), Python, React.
24 CTF-стендаПо классам уязвимостей + итоговый киллчейн, модуль 1.
Сертификат Ever SecureПо итогу курса + финальная работа в ASOC, кейс в портфолио.

Тариф

Один курс, всё включено

B-Bank, 24 CTF-стенда, финальная работа в ASOC и сертификат. Pre-order до старта потока, фиксируем цену 99 000 ₽.

Самостоятельно

99 000 ₽ 125 000 ₽

Цена при оплате до старта потока. После 6 июня, 125 000 ₽.

  • 13 модулей видео + текстовые конспекты на edu.eversecure.ru
  • B-Bank и 24 CTF-стенда на всё время курса + 14 дней после
  • Финальная работа в ASOC-платформе по находкам всех сканеров
  • Финальный тест + сертификат Ever Secure
  • Чат когорты в Telegram
Оплатить курс, 99 000 ₽

Не готовы оплатить сейчас? Оставьте заявку, забронируем цену и ответим на вопросы.

  • Оплата от компании (юр.лицо / ИП): договор и счёт от ООО «ЭВЕР СЕКЬЮР», за 1 рабочий день.
  • Возврат: 100% в течение 7 дней после старта когорты, если поняли, что курс не подходит.

Во втором потоке добавим тариф с индивидуальной проверкой работ преподавателем.

Преподаватели

Учат те, кто сейчас строит безопасность руками

Подробнее о команде → О нас

FAQ

Частые вопросы

В каком формате идёт курс?

Курс гибридный. Видео и текстовые конспекты доступны в личном кабинете на edu.eversecure.ru на протяжении всего потока, к ним возвращаешься в любой момент. Параллельно, 2 занятия в неделю с практикой на B-Bank или CTF-стендах. Длительность потока, 4–6 месяцев. Чат когорты в Telegram идёт параллельно курсу.

Можно ли смотреть в записи?

Да. Все материалы, в записи изначально. Групповые разборы по темам тоже записываются и появляются в личном кабинете в течение суток.

Выдаёте ли удостоверение?

По итогу курса вы получаете сертификат Ever Secure (PDF + бумажный по запросу). У ООО «ЭВЕР СЕКЬЮР» есть лицензия на образовательную деятельность № Л035-01221-58/04457900 от 26.02.2026 (Министерство образования Пензенской области). Программа ДПО, после получения подтверждения по виду деятельности в приложении к лицензии. Если вам важно ДПО-удостоверение для HR, напишите нам, согласуем формат.

Нужен ли опыт?

Да. Курс рассчитан на инженеров с опытом DevOps / SRE / QA / разработки или AppSec, а также на тимлидов, принимающих решения о внедрении DevSecOps. Если вы только начинаете в IT, сначала освойте базовый Linux и хотя бы один CI/CD-пайплайн, потом приходите сюда.

Когда стартует ближайшая когорта?

Старт первого потока, 6 июня 2026. Длительность когорты, 4–6 месяцев. Следующий старт, обычно через 6–8 недель после текущего; точная дата объявляется в Telegram-канале и в личном кабинете для тех, кто записан в waitlist.

Что происходит после записи?

После записи с вами свяжется менеджер, выставит счёт и пришлёт договор. После оплаты в течение часа на e-mail придёт письмо со ссылкой на edu.eversecure.ru и доступом в личный кабинет, там все материалы курса. Чат когорты в Telegram, в том же письме.

Можно оплатить от компании?

Да. Договор и счёт от ООО «ЭВЕР СЕКЬЮР» (ИНН 5800014604), за 1 рабочий день. Реквизиты заполняются в форме записи, далее, переписка с менеджером по почте. Закрывающие документы, стандартный пакет: акт + счёт-фактура (УПД при необходимости). Для команд от 5 человек, корпоративные условия, напишите на contact@eversecure.ru.

Перенос и возврат

Если поняли в первые 7 дней после старта, что курс не подходит, возвращаем 100% стоимости. Если нужно перенести участие на следующий поток, напишите в поддержку, переносим без штрафа один раз.

Записаться на курс
Курсы
Корпоративное обучение Community О нас Войти в личный кабинет Записаться на курс